Hybridmodus von Exchange deaktivieren

    , 03.02.2021
    Tags: , ,

    Exchange Hybrid ConfigurationDer Rückbau einer hybriden Exchange-Umgebung kann anstehen, wenn Unter­nehmen von einer geplanten Migra­tion in die Cloud absehen, oder auch bei einem voll­ständigen Wechsel nach Micro­soft 365. Da beiden Welten in einer Hybrid-Konfiguration eng ver­knüpft sind, muss man einige Ver­bin­dungen kappen.

    Bei positiven Erfahrungen mit dem Cloud-basierten Exchange entscheiden sich Organisationen früher oder später dafür, ganz auf Microsoft 365 umzusteigen. Ausschlag­gebend dafür sind meist nicht nur technische Gründe, sondern strategische Weichen­stellungen.

    Wenn der Hybridmodus in einer solchen Umgebung abgebaut wurde, wird man on prem den Exchange-Server vollständig entfernen, soweit dieser keine Aufgabe mehr hat und die Migration in die Cloud abgeschlossen wurde (das grundsätzliche Vorgehen beschreibt der Beitrag Migration auf Exchange 2016: alten Server entfernen).

    Rückzug aus der Cloud

    Umgekehrt kommt es vor, dass Firmen wieder den Weg zurück zu einer reinen On-prem-Konfiguration wählen. Typischerweise erfolgt dieser Schritt nach einem Pilotprojekt, dessen Ziel es ist, erste Erfahrungen in der Cloud zu sammeln. Die folgende Anleitung beschreibt dieses Szenario.

    Die Gründe für ein solches Vorgehen können zum Beispiel Bedenken bei der IT-Sicherheit und dem Datenschutz sein, gekoppelt mit enttäuschten Erwartungen bezüglich der Kosten für Betrieb, Absicherung und Lizenzen.

    Nachdem Microsoft einen Nachfolger für Exchange 2019 angekündigt hat, ergibt sich für eine solche Strategie eine Perspektive über mehrere Jahre. Organisationen, welche sich nach wie vor schwer tun mit dem Schritt in die Cloud, können so eine entsprechende Entscheidung bis auf weiteres aufschieben.

    Vorarbeiten zur Auflösung einer Hybrid-Umgebung

    Ein hybrides Exchange benutzt häufig AAD Connect, primär für die Synchroni­sierung von Benutzerkonten. Wer dieses Tool im Einsatz hat, sollte es vor den anderen hier beschriebenen Maßnahmen entfernen (siehe dazu: Microsoft Azure Active Directory Connect entfernen).

    Vor dem Abbau sollte zuerst sichergestellt werden, dass keine E-Mails mehr auf Exchange Online eingehen. Außerdem entfernt man zusätzliche DNS-Einträge und schließt die für den Hybrid-Modus erforderlichen Firewall-Ports. Das lokale Exchange sollte wieder alle aktiven Postfächer hosten.

    Anschließend kann man den Hybrid-Service über die Systemsteuerung deinstallieren.

    Deinstallieren des Hybrid-Service über die Systemsteuerung des Exchange-Servers

    In der Konsole des Exchange Admin Center sucht man in den Adressrichtlinien alle Einträge mit "onmicrosoft.com" und löscht diese. Bei dieser Gelegenheit sollten dann auch solche Richtlinien entfernt werden, welche zum Beispiel für ein Pilotprojekt gedient haben.

    Adressrichtlinien mit Bezug auf die Cloud-Installation löschen

    Danach beseitigt man die Domäne .onmicrosoft.com als akzeptierte Domain.

    Hinweis: Solange sie irgendwo in den Adressrichtlinien noch verwendet wird, lässt sich eine akzeptierte Domäne nicht löschen, auch dann nicht, wenn sie nur sekundäre Mail-Adressen verteilt.

    .onmicrosoft.com als akzeptierte Domäne entfernen.

    Im nächsten Schritt beseitigt man die nicht mehr benötigten Empfangs- und Sendeconnectors.

    Sendeconnectors zu Office 365 eliminieren

    Kontrollieren Sie anschließend unter Zertifikate, ob hier auch etwas gelöscht werden muss.

    Für ein rückstandloses Entfernen einer Hybridkonfiguration sollte man auch nicht mehr benötigte Zertifikate löschen.

    Über die Exchange-PowerShell prüft man nun die Organisations­beziehung, zuständig ist dafür Get-OrganizationRelationship.

    Organisations­beziehung mit PowerShell anzeigen

    Diese kann man dann mit

    Remove-OrganizationRelationship -Identity <name>

    löschen.

    Im ADSI Editor sucht man jetzt noch nach Rückständen des Hybridmodus im AD, und zwar unter

    CN = Hybrid Configuration, CN = <Domäne>, CN = Microsoft Exchange, CN = Services, CN = Configuration, DC = <Domäne>

    Einträge für den Hybridmodus im ADSI-Editor entfernen

    Die Remote-Domains auf dem Exchange müssen schließlich ebenfalls ausgetragen werden. Dazu ruft man erst Get-RemoteDomain auf, das eigentliche Entfernen erfolgt dann mit

    Remove-RemoteDomain -Identity <Name>

    Remote-Domänen mit PowerShell anzeigen

    Dies ist besonders für Smartphone-Benutzer wichtig, weil die App sich standardmäßig erst auf Office 365 nachsieht, sobald man als Typ eines Postfaches Exchange auswählt. Wenn die Domain dort noch existiert, dann kommt eine Verbindung mit dem Postfach nicht zustande.

    Nach all diesen Bereinigung der On-prem-Umgebung sollte der Hybridmodus abgebaut sein.

    Täglich Know-how für IT-Pros mit unserem Newsletter

    Wir ver­wenden Ihre Mail-Adresse nur für den Ver­sand der News­letter.
    Es erfolgt keine per­sonen­be­zogene Auswertung.

    Bild von Roland Eich

    Roland Eich ist gelernter Fach­infor­matiker für System­inte­gration und in der IT seit über 14 Jahren zu Hause. Roland deckt auf­grund seiner Erfah­rungen ein breites Spek­trum der Microsoft-Produkt­palette ab.Zudem besitzt er ver­schiedene Zertifi­zierungen (MCITP, MCSA und MCSE, ITIL, PRINCE2).
    // Kontakt: E-Mail //

    Verwandte Beiträge

    Weitere Links